網(wǎng)絡(luò)給我們的生活和工作都帶來了許多便利，平時工作我們會用到網(wǎng)絡(luò)，學(xué)習(xí)也會用網(wǎng)絡(luò)來查詢資料，即使是閑暇的時候也會上會網(wǎng)來放松身心。網(wǎng)絡(luò)帶給人們的娛樂活動也是很多的。盡管我們天天在使用網(wǎng)絡(luò)，但是網(wǎng)絡(luò)是博大精深的，其中也包含了很多技能，本文是一篇網(wǎng)絡(luò)技術(shù)職稱論文，文章圍繞L2TP技術(shù)展開了一些列的討論。
　　摘　要：L2TP是一種工業(yè)標準的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似。本文介紹了L2TP的主要技術(shù)原理，結(jié)合IPsec的特點，得出了實際應(yīng)用中應(yīng)該采用L2TP+IPsec組合技術(shù)。

　　關(guān)鍵詞：網(wǎng)絡(luò)技術(shù)職稱論文,網(wǎng)絡(luò)訪問服務(wù)器(NAS),AH ,ESP,IKE

　　L2TP(Layer Two Tunneling Protocol，第二層通道協(xié)議)是VPDN(虛擬專用撥號網(wǎng)絡(luò))技術(shù)的一種，專門用來進行第二層數(shù)據(jù)的通道傳送，即將第二層數(shù)據(jù)單元，如點到點協(xié)議(PPP)數(shù)據(jù)單元，封裝在IP或UDP載荷內(nèi)，以順利通過包交換網(wǎng)絡(luò)(如Internet)，抵達目的地。

　　L2TP提供了一種遠程接入訪問控制的手段，其典型的應(yīng)用場景是：某公司員工通過PPP撥入公司本地的網(wǎng)絡(luò)訪問服務(wù)器(NAS)，以此接入公司內(nèi)部網(wǎng)絡(luò)，獲取IP地址并訪問相應(yīng)權(quán)限的網(wǎng)絡(luò)資源;該員工出差到外地，此時他想如同在公司本地一樣以內(nèi)網(wǎng)IP地址接入內(nèi)部網(wǎng)絡(luò)，操作相應(yīng)網(wǎng)絡(luò)資源，他的做法是向當(dāng)?shù)豂SP申請L2TP服務(wù)，首先撥入當(dāng)?shù)豂SP，請求ISP與公司NAS建立L2TP會話，并協(xié)商建立L2TP隧道，然后ISP將他發(fā)送的PPP數(shù)據(jù)通道化處理，通過L2TP隧道傳送到公司NAS，NAS就從中取出PPP數(shù)據(jù)進行相應(yīng)的處理，如此該員工就如同在公司本地那樣通過NAS接入公司內(nèi)網(wǎng)。

　　L2TP本質(zhì)上是一種隧道傳輸協(xié)議，它使用兩種類型的消息：控制消息和數(shù)據(jù)隧道消息�？刂葡�息負責(zé)創(chuàng)建、維護及終止L2TP隧道，而數(shù)據(jù)隧道消息則負責(zé)用戶數(shù)據(jù)的真正傳輸。L2TP支持標準的安全特性CHAP和PAP，可以進行用戶身份認證。在安全性考慮上，L2TP僅定義了控制消息的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。

　　IPsec是保障IP層安全的網(wǎng)絡(luò)技術(shù)，是用于實現(xiàn)IP層安全的協(xié)議套件集合。IPsec實質(zhì)上也是一種隧道傳輸技術(shù)，它將IP分組或IP上層載荷封裝在IPsec報文內(nèi)，并根據(jù)需要進行加密和完整性保護處理，以此保證數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸過程的安全。

　　IPsec支持兩種協(xié)議標準，鑒別首部(Authenticaion Header，AH)和封裝安全有效載荷(Encapsulation Security Payload，ESP)：

　　為正確實施IPsec封裝及解封裝IP數(shù)據(jù)包，必須建立IPsec隧道，也就是需要定義加密或鑒別算法、算法使用的密鑰、密鑰保持有效的生命期以及授權(quán)可用的數(shù)據(jù)訪問策略等信息，這也被稱為"安全聯(lián)盟(Security Association，SA)"。

　　通常采用IKE(Internet Key Exchange)協(xié)議來協(xié)商建立IPsec隧道。IKE協(xié)商實際上有兩個階段：

　　第一階段協(xié)商，是在IPsec通信雙方之間建立IKE的安全通道，即建立IKE SA，這個過程有兩種模式，一種是常用的主模式(Main Mode)，能提供身份保護服務(wù)，但需要較多的消息交互(多達六條消息)，另一種是比較迅速的積極模式(Aggressive Mode)，但協(xié)商能力較弱，也不能提供身份保護功能;

　　第二階段協(xié)商是在IKE SA的保護下進行的，其目的是為特定的通信流協(xié)商IPsec安全通道，即建立IPsec SA。

　　由此可以看出IKE的主要作用是負責(zé)建立、維護和終止IPsec安全通道，通過其他的一些消息交換過程，可以幫助維持IPsec通道的可用性和安全性，服務(wù)于IPsec數(shù)據(jù)的安全傳輸。這與L2TP控制消息幫助建立和維護L2TP數(shù)據(jù)傳輸通道的作用有異曲同工之妙。此外IKE的協(xié)商能力也遠大于L2TP控制消息交互。

　　L2TP與IPsec的一個最大的不同在于它不對隧道傳輸中的數(shù)據(jù)進行加密，從而沒法保證數(shù)據(jù)傳輸過程中的安全。因此這個時候，L2TP常和IPsec結(jié)合使用，先使用L2TP封裝第二層數(shù)據(jù)，再使用IPsec封裝對數(shù)據(jù)進行加密和提供完整性保護，由此保證通信數(shù)據(jù)安全傳送到目的地。

　　L2TP由于封裝的是第二層協(xié)議數(shù)據(jù)，因此可以認為是一種L2VPN(第二層VPN)技術(shù)。最新的L2TP協(xié)議草案(L2TP v3)表明，L2TP不僅可以封裝PPP數(shù)據(jù)單元，還可以封裝其他第二層協(xié)議數(shù)據(jù)，如Ethernet(以太網(wǎng))、Frame Relay(幀中繼)等。因此L2TP的作用已經(jīng)擴展到將異地的局域網(wǎng)通過L2TP隧道跨越公共網(wǎng)絡(luò)連接在一起，也就是實現(xiàn)異地局域網(wǎng)互聯(lián)，這樣可以將某些局域網(wǎng)技術(shù)如VLAN(虛擬局域網(wǎng))應(yīng)用到異地局域網(wǎng)之間，從而利用公共網(wǎng)絡(luò)來模擬局域網(wǎng)。當(dāng)然其數(shù)據(jù)傳輸過程中的安全性仍然依賴于IPsec來提供。同時由于對數(shù)據(jù)進行了層層封裝，這樣難免影響效率，導(dǎo)致性能不高。

　　IPsec封裝的是IP層數(shù)據(jù)，或是IP上層協(xié)議載荷，因此可以認為是一種構(gòu)建L3VPN(第三層VPN)的技術(shù)。其最大的特點是為數(shù)據(jù)傳輸過程提供了機密性、完整性保護和數(shù)據(jù)源驗證，從而確保承載于公共網(wǎng)絡(luò)的VPN的安全性和可靠性，同時由于添加的協(xié)議頭并不多，且還可以利用硬件加密卡加速IPsec報文的處理，因而效率上得到了很大的提高;此外IKE協(xié)商過程能提供比較完備的用戶身份認證，這就使得可以對IPsec用戶訪問實施有力控制，從而進一步保證了網(wǎng)絡(luò)的安全。

　　因此就一般企業(yè)用戶構(gòu)建安全的VPN而言，應(yīng)該使用IPsec技術(shù)，當(dāng)然如果需要實現(xiàn)安全的VPDN，就應(yīng)該采用L2TP+IPsec組合技術(shù)。
　　網(wǎng)絡(luò)技術(shù)職稱論文發(fā)表期刊推薦《計算機技術(shù)與發(fā)展》期刊，原名《微機發(fā)展》，中國計算機學(xué)會會刊，中國科技核心期刊、中國科技論文統(tǒng)計源期刊。中國學(xué)術(shù)期刊綜合評價數(shù)據(jù)庫統(tǒng)計源期刊，中國核心期刊數(shù)據(jù)庫收錄期刊，中國期刊全文數(shù)據(jù)庫收錄期刊，萬方數(shù)據(jù)資源系統(tǒng)數(shù)字化期刊群上網(wǎng)期刊，中國學(xué)術(shù)期刊(光盤版)全文收錄期刊。

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/jisuanjiwangluolw/52714.html